Après une consultation publique, la Commission nationale de l’informatique et des libertés (CNIL) a publié ses premières recommandations pour le développement d’un système d’intelligence artificielle (IA) respectueux du cadre juridique et des bonnes pratiques.
Ces recommandations prennent la forme de 7 fiches thématiques, abordant des sujets tels que la définition de l’objectif de l’IA, la minimisation des données personnelles, la responsabilité et la base légale, la transparence, la robustesse, la portabilité et la gouvernance des données.
Définir un objectif clair et limiter les données personnelles
La première fiche de la Cnil met l’accent sur la définition de l’objectif de l’IA, qui doit encadrer et limiter les données personnelles nécessaires à l’atteinte de cet objectif. La commission recommande également des exigences d’information et de légitimité, ainsi que des bonnes pratiques pour les systèmes d’IA à usage général ou à des fins de recherche scientifique.
La fiche relative à la minimisation des données personnelles souligne l’importance de ne collecter et traiter que les données adéquates, pertinentes et limitées à ce qui est nécessaire, en fonction de la finalité du système IA.
Responsabilité et base légale
Une autre fiche s’intéresse à la responsabilité, en distinguant les responsables de traitement et les sous-traitants. Le responsable de traitement est celui qui définit le « pourquoi » et le « comment » de l’utilisation des données personnelles, tandis que le sous-traitant doit respecter les instructions du responsable de traitement et protéger les données avec un niveau de sécurité rigoureux.
Le RGPD fixe plusieurs bases légales pour traiter les données, telles que le consentement, l’exécution d’un contrat ou la poursuite d’un intérêt légitime. Dans le domaine de l’IA, obtenir le consentement peut s’avérer difficile, et il faudra plutôt se tourner vers la poursuite de l’intérêt légitime en respectant des conditions.
Analyse d’impact et gouvernance des données
La Cnil recommande également de réaliser une analyse d’impact avant le développement d’un système IA, afin de cartographier et évaluer les risques sur la protection des données personnelles. Cette analyse est nécessaire pour les systèmes à haut risque référencés par l’IA Act.
Enfin, la dernière fiche aborde la gouvernance des données, en recommandant aux développeurs de systèmes IA de mettre en place des mesures pour garantir la qualité, la sécurité et la traçabilité des données, ainsi que pour faciliter la portabilité des données.